Untersuchen von Microsoft Entra Health-Überwachungswarnungen (Vorschau)

Microsoft Entra Health Monitoring hilft Ihnen, die Gesundheit Ihres Microsoft Entra-Mandanten über eine Reihe von Gesundheitsmetriken und intelligenten Warnungen zu überwachen. Gesundheitsmetriken werden in unseren Anomalieerkennungsdienst eingespeist, der maschinelles Lernen verwendet, um die Muster für Ihren Mandanten zu erkennen. Wenn der Anomalieerkennungsdienst eine wesentliche Änderung in einem der Muster auf Mandantenebene feststellt, löst er eine Warnung aus.

Die von Microsoft Entra Health bereitgestellten Signale und Warnungen stellen den Ausgangspunkt für die Untersuchung potenzieller Probleme in Ihrem Mandanten dar. Da es eine Vielzahl von Szenarios und einige weitere zu berücksichtigende Datenpunkte gibt, ist das Verständnis über die effektive Untersuchung dieser Warnungen wichtig. Dieser Artikel enthält einen Leitfaden zum Untersuchen einer Warnung, ist jedoch nicht auf eine spezifische Warnung ausgerichtet.

Wichtig

Die Überwachung von Szenarios und Warnungen für Microsoft Entra Health befinden sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts. Wesentliche Änderungen vor dem Release sind vorbehalten. Microsoft übernimmt hinsichtlich der hier bereitgestellten Informationen keine Gewährleistungen, weder ausdrücklich noch konkludent.

Voraussetzungen

Es gibt unterschiedliche Rollen, Berechtigungen und Lizenzanforderungen zum Anzeigen von Signalen zur Systemüberwachung und zum Konfigurieren und Empfangen von Warnungen. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.

• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz ist erforderlich, um die Überwachungssignale des Microsoft Entra-Integritätsszenarios anzuzeigen.
• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenzund mindestens 100 monatlich aktiven Benutzenden ist erforderlich, um Warnungen anzuzeigen und Warnungsbenachrichtigungen zu empfangen.
• Die Rolle für Berichtsleseberechtigte ist die am wenigsten privilegierte Rolle, die zum Anzeigen von Szenarioüberwachungssignalen, Warnungen und Warnungskonfigurationen erforderlich ist.
• Der Helpdeskadministrator ist die am wenigsten privilegierte Rolle, die zum Aktualisieren von Warnungen und zum Aktualisieren von Updatebenachrichtigungskonfigurationen erforderlich ist.
• Die HealthMonitoringAlert.Read.All-Berechtigung ist zum Anzeigen der Warnungen mithilfe der Microsoft Graph-API erforderlich.
• Die Berechtigung HealthMonitoringAlert.ReadWrite.All ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen und zu ändern.
• Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Bekannte Einschränkungen

• Neu eingebundene Mandanten verfügen möglicherweise nicht über genügend Daten, um etwa 30 Tage lang Warnungen zu generieren.
• Derzeit sind Warnungen ausschließlich über die Microsoft Graph-API verfügbar.

Zugreifen auf Microsoft Entra Health-Metriken und -Signale

Sie können die Microsoft Entra Health-Überwachungssignale im Microsoft Entra Admin Center anzeigen. Sie können die Eigenschaften der Signale und die öffentliche Vorschau der Systemüberwachungswarnungen auch mithilfe von Microsoft Graph-APIs anzeigen.

Admin-Zentrum

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle für Berichtleseberechtigte an.

2. Navigieren Sie zu Identität>Überwachung und Integrität>Integrität. Die Seite mit den SLA-Ergebnissen (Service Level Agreement, Vereinbarung zum Servicelevel) wird geöffnet.

3. Wählen Sie die Registerkarte Szenarioüberwachung aus.

   

4. Wählen Sie für das Szenario Details anzeigen aus, das Sie untersuchen möchten.

   • Die Standardansicht umfasst die letzten sieben Tage, Sie können den Datumsbereich jedoch auf 24 Stunden, sieben Tage oder einen Monat einstellen.
   • Die Daten werden alle 15 Minuten aktualisiert.
   • Es wird empfohlen, diese Signale regelmäßig zu überprüfen, damit Sie die Trends und Muster Ihres Mandanten erkennen können.

   

Microsoft Graph-API

Mit den Microsoft Graph-APIs können Sie die Metriken anzeigen, aus denen die Gesundheitssignale und Warnungen bestehen, und die Auswirkungszusammenfassung für eine Gesundheitswarnung überprüfen. Die Ressource serviceActivity ruft die Metriken ab, die in die Microsoft Entra Health-Überwachungssignale einfließen und im Microsoft Entra Admin Center visualisiert werden. Weitere Informationen finden Sie unter serviceActivity-Ressourcentyp.

Das Ausführen dieser Abfragen stellt die Häufigkeit bereit, mit der die Dienstaktivität in einem bestimmten Zeitrahmen aufgetreten ist. Beispiel: Um die Anzahl der erfolgreichen Anmeldungen über die Multi-Faktor-Authentifizierung (MFA) anzuzeigen, führen Sie die folgende Abfrage aus:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Die Antwort zeigt, wie viele erfolgreiche Anmeldungen während des spezifischen Zeitrahmens aufgetreten sind, aggregiert in zehnminütigen Intervallen.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Untersuchen der Warnung und Signale

Sie und Ihr Team können die Gesundheit dieser Szenarien effektiver überwachen, indem Sie E-Mail-Benachrichtigungen konfigurieren. Wenn Sie eine Benachrichtigung erhalten oder eine Änderung in einem Muster sehen, bei dem Sie vermuten, dass eine Untersuchung erforderlich ist, müssen Sie in der Regel die folgenden Datensätze untersuchen:

• Warnungswirkung: Der Teil der Antwort nach impacts beschreibt den Umfang und fasst die betroffenen Ressourcen zusammen. Zu diesen Details gehört der impactCount-Wert, damit Sie bestimmen können, wie weit verbreitet das Problem ist.
• Warnungssignale: Der Datenstrom oder das Integritätssignal, das die Benachrichtigung ausgelöst hat. In der Antwort wird eine Abfrage zur weiteren Untersuchung bereitgestellt.
• Anmeldeprotokolle: In der Antwort wird eine Abfrage zur weiteren Untersuchung der Anmeldeprotokolle bereitgestellt, in denen das Integritätssignal generiert wurde. Die Anmeldeprotokolle enthalten detaillierte Metadaten zu Ereignissen, die zur Identifizierung der Ursache eines Problems verwendet werden können.
• Szenariospezifische Ressourcen: Je nach Szenario müssen Sie möglicherweise die Intune-Compliance-Richtlinien oder die Richtlinien für den bedingten Zugriff untersuchen. In vielen Fällen wird in der Antwort ein Link zur zugehörigen Dokumentation bereitgestellt.

Auswirkungen und Signale ansehen

1. Fügen Sie in Microsoft Graph die folgende Abfrage hinzu, um alle Warnungen für Ihren Mandanten abzurufen.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Suchen und speichern Sie das id der Benachrichtigung, die Sie untersuchen möchten.

3. Fügen Sie die folgende Abfrage mithilfe von id als alertId hinzu.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Beispielanforderungen und -antworten finden Sie unter Benachrichtigungsobjekte für die Integritätsüberwachungsliste.

• Der Teil der Antwort nach impacts bildet die Zusammenfassung der Auswirkungen für die Warnung.
• Der supportingData Abschnitt enthält die vollständige Abfrage, die zum Generieren der Warnung verwendet wird.
• Die Ergebnisse der Abfrage umfassen alles, was vom Anomalieerkennungsdienst identifiziert wurde. Darunter können sich jedoch ebenfalls Ergebnisse befinden, die nicht direkt mit der Warnung zusammenhängen.

Anzeigen der Anmeldeprotokolle

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle für Berichtleseberechtigte an.
   • Wenn Sie Richtlinien für bedingten Zugriff ändern müssen, benötigen Sie die Rolle des Administrators für bedingten Zugriff.
2. Navigieren Sie zu Überwachung und Integrität>Anmeldeprotokolle.
   • Passen Sie den Zeitraum an den Warnzeitrahmen an.
   • Fügen Sie einen Filter für bedingten Zugriff hinzu.
   • Wählen Sie einen Protokolleintrag aus, um die Details der Anmeldeprotokolle anzuzeigen, und wählen Sie die Registerkarte „Bedingter Zugriff“, um die angewendeten Richtlinien anzuzeigen.

Betrachten Sie die szenariospezifischen Ressourcen

Jede Warnung kann einen anderen Datensatz zur Untersuchung enthalten. Weitere Informationen zu den einzelnen Benachrichtigungstypen finden Sie in den folgenden Artikeln:

• Anmeldungen, die ein kompatibles oder verwaltetes Gerät erfordern
• Anmeldungen, die Multi-Faktor-Authentifizierung (MFA) erfordern

Analyse der möglichen Hauptursachen

Nachdem Sie alle Daten zum Szenario gesammelt haben, müssen Sie mögliche Ursachen ermitteln und nach potenziellen Lösungen suchen. Überlegen Sie, wie ernst die Benachrichtigungen sind. Sind nur eine Handvoll Benutzer betroffen oder handelt es sich um ein weit verbreitetes Problem? Hatte eine kürzlich erfolgte Änderung der Richtlinien unbeabsichtigte Folgen?

Wir empfehlen, die Warnungen und Gesundheitsüberwachungsdaten regelmäßig zu betrachten, um Trends und potenzielle Probleme zu identifizieren, bevor sie zu weitreichenden Problemen werden.

Verwandte Inhalte

• Anmeldungen, die ein kompatibles oder verwaltetes Gerät erfordern
• Anmeldungen, die MFA erfordern
• API-Dokumentation zu Health-Überwachungswarnungen in Microsoft Graph